科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网CIO与应用频道CIO直面风险管理

CIO直面风险管理

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在过去十年中,IT所带来的风险在大多数公司中已经出现了显着的变化。● 确保该团队关注缓解风险,发扬一种开放、分享、团队责任的文化氛围,不要回避风险,因为这样会带来一种闭塞和相互责备的文化氛围。

来源:Optimize 2009年2月24日

关键字: IT 管理 风险 CIO

  • 评论
  • 分享微博
  • 分享邮件

  在过去十年中,IT所带来的风险在大多数公司中已经出现了显着的变化。现今,IT问题所带来的潜在风险,已经远远超出IT投资本身,这种情况几乎普遍存在。比如,很多公司花费数百万美元部署了ERP系统,一旦这个系统停止工作一周,其带来的损失,可能要超过系统部署成本的十倍以上。

  近来,就发生了与IT问题有关的两个案例:礼来公司(Eli Lilly)意外泄露了600多名Prozac(一种抗抑郁症药物)使用者的姓名和地址,其带来的直接后果是,美国联邦贸易委员会(Federal Trade Commission)颁布了一项为期20年的法令,法令规定,将对公司的IT安全每年进行审核。另一个案例是,电子游戏厂商瓦尔伏公司(Valve)由于一个简单的安全漏洞而丢失了一种新游戏的源代码。结果,这个游戏不得不推迟六个月上市,公司花费数月进行研发所带来的竞争优势也因此而丧失殆尽。

  当你意识到,公司丢失一小部分内部机密数据可能会带来多大的损失,你就能对几乎所有公司都面对的风险有一个总体认识。这也意味着,CIO们比过去的责任更大了。企业期望由CIO们来应对这些风险。CIO别无选择。对新型CIO而言,风险管理已经成为他们工作中不可或缺的一部分。顾能公司(Gartner)日前对上百名CIO进行了年度调查,CIO们在调查中提出了四种他们关注的风险:

  ● 企业联系:公司与供应商、合作伙伴、消费者之间的联系愈发紧密,这不仅使企业对他们的依赖度越来越高,而且也带来了企业信息被窃取或滥用的可能。如果企业的这些关系管理不善,就会带来新的风险。这种风险,传统的IT观念并没有考虑到。

  ● 符合法规要求:由于管理不善及随之而生的犯罪行为,使得许多公司最终经营失败。政府因此出台了多项法规,希望减少滥用管理权力的现象,并对滥用管理权力者进行惩罚。但这样做的同时,这也为公司处理和保护信息带来了法律风险。

  ● 消费者要求保护隐私:消费者关心隐私,主要是因为窃取身份信息和个人信息的行为不断增加,同时,也和政府出台的多项反恐计划有关。缺乏隐私保护,对公司而言,是一种新的消费者风险;同时,不能遵守刚出台的隐私法,也使公司面临新的法律风险。

  ● IT问题带来的损失不断上升:IT问题不仅会影响到公司的客户、客户的客户以及供应商,而且也有可能给企业的商誉带来巨大损害,并使公司面临民事和刑事的双重惩罚。

  整体考虑

  在IT风险管理上,CIO们面临的一个共同问题是,IT风险带来的威胁、IT风险的影响面、IT风险的范围,都要大大超过以往。因此,很多企业并没有很好理解,应该如何去化解这些新的风险和消除这些风险的影响—要么是企业的CIO不熟悉如何管理业务风险,要么是企业的管理者对IT问题所带来的风险不重视。

  我们的研究显示,CIO们把IT风险划分为好几类,比如应用、架构和供应商等,而没有把IT风险和业务风险作为一个整体来考虑。由于这种划分,使得CIO们也搞不清,究竟有多少IT预算用在了风险管理上。在我们的调查中,CIO们估计他们把IT预算的6~7%用在风险管理上。然而,当把这些风险管理支出进行具体分解后,实际的风险管理开支数据可能要翻上一番,达到约15%。对IT风险进行分类管理的办法,在过去可能是有效的,但在IT已经深深融入企业业务流程的今天,就已经不再合适。

  不能把IT风险管理与业务风险管理综合起来进行整体考虑,这样将使企业陷入愈发危险的境地。因为对这两种风险的管理相互交叉,其结果会影响到整个公司。在安全或者技术上出现的问题,很容易就会从IT问题演变为整个公司的问题,进而影响到消费者的忠诚度,企业不得不被迫接受法律稽查,公司形象也由此受损。

  化解风险,一般有四种主要的方法:缓解,转移,接受和避免。“缓解”是指降低风险,或降低风险可能带来的后果。要让“缓解”起作用,企业必须拥有足够的控制力,以减少风险时间出现的可能性,或消除风险事件带来的可能影响。

  “转移”是指把风险转嫁给另一个有能力并愿意承担风险的载体,比如保险公司。“接受”是指企业有意识地去设想几种风险,这称为自我保险。为了让“接受”发挥作用,风险发生的几率必须足够小,或其重要性微不足道,对企业来说能够承受。“避免”则是指消除风险事件发生的可能性。对于大多数企业而言,“避免”意味着从某项业务或某个市场中退出,或放弃某个产品。要做到那样,企业必须具备自由退出的能力,还必须甘愿放弃与风险同时存在的市场机会。

  在CIO的职责范围内出现的绝大部分新型IT风险,唯一可行的管理策略就是“缓解”。

  虽然很难对风险管理的成功进行客观的量化评价,但你必须证明,是你终止了某项从未发生过的事件。Gartner公司对CIO们识别风险并采取有效措施缓解风险的信心进行了研究。我们把这些CIO称为高度自信的经理人。Gartner公司发现,这些高度自信的经理人可能只是略微增加了在风险管理上的投入,但是,他们在改善业务关系、提高IT可靠度、缓解风险等方面,却获得了高得多的回报。

  这些高度自信的经理人,一般都采用了缓解风险的三种方法中的一种,当然,对另外两种也没有忽视。这三种方法分别是:风险管理的流程,简化配置的系统和个人经验。后两个方法比较通俗易懂:系统复杂性降低了,风险自然也就降低了,而且可以消灭出现错误点的可能。个人经验方法则是在团队中保留一名拥有丰富风险管理经验的员工。因此,我们将着重关注风险管理的流程这一方法。

  制订流程

  根据卡内基-梅隆大学软件工程学院(Carnegie Mellon University Software Engineering Institute)的研究结果,一个好的风险管理流程包含五个步骤:识别、分析、计算、防御计划,以及执行/评估。

  首先,要识别目标和威胁。要识别风险,就先得把你的企业勾画为一个整体。对你的业务来说,什么策略是最重要的?公司制定的每项策略的主要障碍在哪里?是否存在单独的错误点?在数据、资金、原材料,或其他价值较高的公司资产中,公司策略的重心在哪里?把这些因素与业务流程结合起来,判断哪些业务流程会面临风险,或会受到风险的影响。对这些问题,要尽可能地明确。

  例如,在卢森堡综合银行(Banque Générale du Luxembourg),公司CIO迈克尔·道芬(Michel Dauphin)和他的同僚就识别出以下对业务来说非常关键的IT风险:

  ● 如果系统不可用或用户界面不友好,会对业务人员的效率产生影响;

  ● 由于系统不灵活,使得公司对新的商业机会不能做出快速反应;

  ● 数据支离破碎;

  ● 由于对用户接入管理不善,将导致欺诈行为的出现;

  ● 如果IT无法提供合适的报告方法,企业就无法按照法律要求进行充分的信息披露;

  ● 如果IT系统运转不正常,会使员工情绪紧张。

  高度自信的风险管理者们总是把对风险的评估当作一项任务来对待,从整个企业的角度定期进行回顾检讨。正如前文所述,如果把所有IT风险进行分类,就不能对他们进行有效管理。首先叫你的资深IT经理们识别出最重要的风险,以及他们所参与的可能的重要业务流程。要有效地做到这一点,他们很可能需要与他们的合作伙伴通力协作。

  其次,分析威胁。给各种资产赋予风险价值,从业务流程、市场,到数据库。价值的形式可以是营业收入的减少或者市场份额的下降。把无形损失,比如商誉损失,转化为经济术语,估算他们对公司销售的影响,是否会引发营销下降,公司受到法律惩罚或罚款。另一个评估资产风险价值的好办法是计算可能的犯罪利益,也就是会吸引外部人员攻击的价值。对于那些损失可能涉及第三方的资产,应该估算出因为疏忽而可能带来的潜在债务。

  第三,对每次设想中的攻击,计算出每年的风险。如果你拥有完整的数据资料的话,就能很容易计算出外部对你企业的攻击,以及你响应攻击所用去的费用。你可以用下面的等式来计算每年因风险而造成的潜在损失:每年的潜在损失 = 事件发生的成本 x 漏洞。然后根据风险级别进行优先性排序。

  第四,确定可能的防御措施,用它们来平衡风险。一旦你拥有一张可能的防御清单,就按照四个标准来检讨取舍:成本;与企业目标的一致程度或偏离程度;对业务流程的影响,包括成本——这取决于是否需要对流程进行重新设计;以及对当前和未来风险管理行动的影响。最后一项可能取决于:你是否需要一直使用昂贵的、难以获取的技巧和知识;这是否会限制灵活性或缓解其他风险的能力;这是否有利于促进长期、而非暂时的风险管理。

  最后,你还必须执行这些防御措施,并对你的成功进行评估。而且,你还要定期汇报识别出来的风险的状态,以及你所采取的风险管理措施。在公司的每一级,管理层应该大致关注五至七个主要的风险,并且定期地向更上一级管理层汇报。

  在风险管理流程方面,英国电信批发公司(BT Wholesale)就是一个很好的例子。

  该公司是英国电信公司(BT)下属的一家公司,为英国电信公司和其他通信公司提供网络服务和全面解决方案。公司CIO菲尔·丹斯(Phil Dance)和他的团队认为,不完善的语音网络是公司的主要风险。这种不完善,将对公司的股价、信誉以及未来的业务会带来不可估量的损害。由于这种风险的成本非常巨大,公司因此决定,把IP网络根据运行在当前网络上的各种应用进行分割,负责数据处理的网络部分,和管理像路由器、交换机那样的硬件系统、维持网络运行的网络部分必须分开。这样做,使得公司很好地保护了交换网,极大地降低了危及网络安全的风险。英国电信批发公司对风险管理的这种态度,充分说明了网络和信息安全对提高网络效率也非常重要。

  正如大多数CIO们所知,风险管理代价不低。但值得关注的是,相对于那些不够自信的管理者们,高度自信的风险管理者们的平均支出只增加了20%。而从占公司收入的百分比看,这点差异几乎可以忽略不计。

  我们把这一点告诉了那些正在努力争取风险管理预算的CIO们。如果你的情况也类似,那么请记住,风险管理问题不是IT问题,是企业问题,因此,你也要用针对企业问题的办法来对待它。

  你应该确保你的同事及董事会,不仅充分理解这些风险,而且理解为了缓解风险而采取的各种努力是符合企业风险管理标准的。然后,在企业层面上做出决策,分配预算和资源,并确定什么级别的风险是可以接受的。

  一位CIO在我们近期的座谈会上谈到,在一个IT预算会议上,他的团队提交的预算完全围绕IT安全,根本没有涉及任何具体技术。他的团队简单说明了一些敏感数据存在的安全隐患,以及可能付出的安全代价,接着就讨论如何把钱花在降低风险上,并指出,这些开支要大大低于潜在风险所带来的破坏。结果,预算请求不仅获得了批准,而且公司首席财务官和首席运营官还为该项目增加了额外的预算。

  企业的风险管理不仅仅是为了IT,它将会成为新型CIO日常工作的一部分。如果你还不怎么熟悉风险管理的步骤和程序,那么,从今天起就开始练习。你是一个领导者,你必须领导和教育其他管理者,哪些是和技术有关的重大风险。很显然,成为企业的风险管理的领导人,对提升新型CIO的威信将具有非常重要的作用。

  新型CIO

  CIO们正站在一个十字路口。

  由于对IT存在两种不同的观点,他们的角色正发生变化。一方面,网络泡沫破灭后,很多人对IT一直感到不满意,很多对技术的资本投入结果都打了水漂。业界一些比较流行的观点认为,IT与竞争优势无关,很多公司因此纷纷把与IT有关的职位转移到海外。另一方面,由于全球经济出现回暖,一些公司对IT开始重新感兴趣,许多企业管理者拼命追求创新。同样,不断改变的监管环境,也更强调公司披露及时、完整和精确的信息,技术在各种产品或服务中,扮演了即使不是主要的角色,也一定是基础的角色。

  观望不是一种选择。

  根据我们出版的《新型CIO》(哈佛商学院出版社 2004年12月出版)一书的研究,我们发现每位CIO对以上两种观点择一而行。受IT与竞争优势无关说影响的CIO,扮演的角色 是首席技术机械师(Chief Technology Mechanic);而另一种CIO,受到了IT将在重大商业活动和革新,以及企业成功中起重要核心作用的观点影响,我们将这类CIO称之为新型CIO。事实上,这将为他们迈向首席运营官(COO)和首席执行官(CEO)打下基础。

  要成为一个新型CIO,就必须在技巧、方法和处事优先性上做出改变。一个CIO不做这些改变,就只能称为一个技术机械师,而不是企业执行官。区别你是否是一个新型CIO,有以下十个条件:

  ● 领导,而不仅仅管理:管理是执行,而领导是变革,特别是指影响他人做出改变。通过影响来领导这一点非常重要。

  ● 对外界环境充分了解:CIO们需要了解竞争环境,用主要决策人和股东的语言开展工作。

  ● 建立一种“IT推动公司成功”的理念。

  ● 营造一种对充满IT活力企业的期望,并让每个人都知道。CIO们需要与同事们一起,甄别企业主要的业务需求、策略和驱动因素,然后针对那些需求,明确IT的指导方针。

  ● 创建清晰的、适当的IT管理制度。有效的管理让CIO们能通盘考虑商业和IT策略,并能不断增强可信度和信任感。

  ● 把商业策略和IT策略融合在一起:在某个确定时间段内,主要IT领域和IT部署的核心就是IT策略。合理的IT策略,意味着IT能够不断发展,并且得到积极的管理。

  ● 构建一个新型的IT机构,比传统上更偏向和重视业务需求。

  ● 建立并培养一个优秀的IT团队:新型IT组织会更依赖于内外部关系,因此CIO们应该聘用具有这方面能力的员工,并对员工进行新技能的培训。

  ● 对新型的企业和IT风险进行管理。

  ● 用商业语言来描述IT表现。CIO们必须告诉大家,IT是如何为股东和企业价值做出贡献的。

  90天行动计划

  CIO们正被要求去管理企业面对的新型IT风险。绝大多数商业流程依赖IT,使得IT问题带来的后果的严重性与日俱增,CIO们的责任无比巨大。该计划能够让你主动地启动一个风险管理。

  第一个30天:集合人员,制定议程,获取工具

  ● 创建一个风险管理团队,这个团队中应该包括向首席执行官或首席财务官汇报工作的高级经理。他们的不同、 他们的影响力应该跨越整个IT组织,并应该扩大到尽可能多的业务流程。

  ● 确保该团队关注缓解风险,发扬一种开放、分享、团队责任的文化氛围,不要回避风险,因为这样会带来一种闭塞和相互责备的文化氛围。

  ● 对那些与主要业务流程相关的风险进行检查;把有形的和无形的损失,用同事们都能理解的经济术语描述出来。

  第二个30天:制订计划,培训团队

  ● 对企业业务连贯性规划进行回顾,或者创建这样一个计划。许多CIO已经成功地采用业务连贯性作为识别和管理风险的平台。

  ● 和业务管理层一起审核风险管理团队列出的风险清单。

  ● 对你的团队进行培训,让他们认识所面临的各种各样的风险,尤其是那些新出现的风险因素。

  ● 制订清晰、适当的安全管理制度,明确谁对决策负责,谁对出现的风险问题负责。

  第三个30天:测试上述计划,并预测未来

  ● 对业务连贯性计划进行完整的、真实的测试,在“财富500强(Fortune 500)”企业中,只有50%能够做到。

  ● 与业务管理层一起审核并完成缓解风险计划。

  ● 根据对企业因为IT问题而可能出现的成本的分析,开始制定下一年的风险管理预算。

  不能把IT风险管理与业务风险管理综合起来进行整体考虑,将使企业陷入愈发危险的境地。

  好的风险管理流程包含五个步骤:识别、分析、计算、防御计划,以及执行/评估。

  相对于那些不够自信的管理者们,高度自信的风险管理者们的平均支出只增加了20%。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章